Cette page explique comment simuler une modification d'une stratégie de limite d'accès des comptes principaux (PAB) ou d'une liaison à l'aide de Policy Simulator. Elle explique également comment interpréter les résultats de la simulation et comment appliquer la stratégie ou la liaison de limite d'accès des comptes principaux simulée si vous le souhaitez.
Cette fonctionnalité n'évalue l'accès qu'en fonction des stratégies de limite d'accès des comptes principaux.
Pour savoir comment simuler des modifications apportées à d'autres types de règles, consultez les pages suivantes:
- Tester les modifications apportées aux règles de refus avec Policy Simulator
- Tester les modifications apportées aux règles d'administration à l'aide de Policy Simulator
- Tester les modifications de rôle avec Policy Simulator
Avant de commencer
-
Enable the Cloud Asset Inventory, Identity and Access Management, Policy Analyzer, and Policy Simulator APIs.
- (Facultatif) Découvrez le fonctionnement de Policy Simulator pour les stratégies de limite d'accès des comptes principaux.
Rôles requis
Pour obtenir les autorisations nécessaires pour tester les modifications apportées aux stratégies et aux liaisons de limite d'accès des comptes principaux, demandez à votre administrateur de vous accorder les rôles IAM suivants sur l'organisation:
-
Lecteur d'opérations IAM (
roles/iam.operationViewer) -
Administrateur IAM de pool d'employés (
roles/iam.workforcePoolAdmin) -
Rôle IAM d'administrateur de pools Workload Identity (
roles/iam.workloadIdentityPoolAdmin) -
Administrateur de l'organisation (
roles/resourcemanager.organizationAdmin) -
Administrateur de la stratégie de limite d'accès des principaux (
roles/iam.principalAccessBoundaryAdmin) -
Administrateur IAM de pool Workspace (
roles/iam.workspacePoolAdmin)
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.
Lancer une simulation
Les sections suivantes décrivent comment démarrer une simulation pour une modification d'une stratégie ou d'une liaison de limite d'accès des comptes principaux.
Simuler une nouvelle liaison pour une stratégie de limite d'accès des comptes principaux
Suivez la procédure de création d'une liaison de stratégie, mais ne cliquez pas sur Ajouter après avoir saisi les détails de la liaison. Cliquez plutôt sur Tester les modifications.
Simuler la modification d'une stratégie de limite d'accès des comptes principaux existante
Suivez la procédure pour modifier une stratégie de limite d'accès des comptes principaux, mais ne cliquez pas sur Enregistrer après avoir modifié la stratégie. Cliquez plutôt sur Tester les modifications.
Simuler la modification d'une liaison existante pour une stratégie de limite d'accès des comptes principaux
Suivez la procédure pour modifier une liaison de stratégie, mais ne cliquez pas sur Enregistrer après avoir modifié la liaison. Cliquez plutôt sur Tester les modifications.
Simuler la suppression de règles de limite d'accès des comptes principaux
Dans la console Google Cloud, accédez à la page Stratégies de limite d'accès des principaux.
Accéder aux stratégies de limite d'accès des comptes principaux
Sélectionnez l'organisation propriétaire de la stratégie de limite d'accès des comptes principaux dont vous souhaitez supprimer les règles.
Cliquez sur l'ID de la stratégie de limite d'accès des comptes principaux dont vous souhaitez supprimer la règle.
Dans le tableau Règles de limite, sélectionnez les règles que vous souhaitez supprimer, puis cliquez sur Tester la suppression des règles.
Simuler la suppression d'une stratégie de limite d'accès des comptes principaux
Dans la console Google Cloud, accédez à la page Stratégies de limite d'accès des principaux.
Accéder aux stratégies de limite d'accès des comptes principaux
Sélectionnez l'organisation propriétaire de la stratégie de limite d'accès des comptes principaux dont vous souhaitez supprimer la liaison.
Recherchez l'ID de la stratégie que vous souhaitez supprimer. Dans la ligne de cette stratégie, cliquez sur Actions, puis sur Tester la stratégie de suppression.
Simuler la suppression d'une liaison pour une stratégie de limite d'accès des comptes principaux
Dans la console Google Cloud, accédez à la page Stratégies de limite d'accès des principaux.
Accéder aux stratégies de limite d'accès des comptes principaux
Sélectionnez l'organisation propriétaire de la stratégie de limite d'accès des comptes principaux dont vous souhaitez supprimer la liaison.
Cliquez sur l'ID de la stratégie de limite d'accès des comptes principaux dont vous souhaitez supprimer les liaisons.
Cliquez sur l'onglet Liaison.
Recherchez l'ID de la liaison que vous souhaitez supprimer. Sur la ligne de cette liaison, cliquez sur Actions, puis sur Tester la suppression de la liaison.
Comprendre les résultats de la simulation
La page de résultats d'une simulation de stratégie ou de liaison de limite d'accès des comptes principaux contient les informations suivantes:
Une section Accès révoqué, qui contient les informations suivantes:
- Nombre de comptes principaux qui perdraient l'accès si vous appliquiez la stratégie ou la liaison de limite d'accès des comptes principaux simulée
- Nombre de ressources connues auxquelles les comptes principaux perdraient l'accès si vous appliquiez la stratégie ou la liaison de limite d'accès des comptes principaux simulée
Une section Accès obtenu, qui contient les informations suivantes:
- Nombre de comptes principaux qui auraient accès si vous appliquiez la stratégie ou la liaison de limite d'accès des comptes principaux simulée
- Nombre de ressources connues auxquelles les principaux auraient accès si vous appliquiez la stratégie ou la liaison de limite d'accès des comptes principaux simulée
Tableau des modifications d'accès, qui indique l'impact de la stratégie ou de la liaison simulée. Pour savoir comment interpréter ces modifications d'accès, consultez la section Résultats de Policy Simulator.
Intervenir en fonction d'une simulation
Après avoir examiné un rapport de simulation, vous pouvez effectuer les actions suivantes:
Exporter les résultats de la simulation: pour exporter les résultats d'une simulation au format CSV, cliquez sur Exporter les résultats bruts.
Lorsque vous cliquez sur ce bouton, un fichier CSV contenant les rapports de simulation est téléchargé sur votre ordinateur.
Appliquer la simulation de modification de stratégie: le bouton sur lequel vous devez cliquer pour appliquer une simulation de modification de stratégie dépend du type de modification que vous simulez.
- Simuler une stratégie ou une règle de limite d'accès des comptes principaux modifiée, ou une règle supprimée: cliquez sur Définir la stratégie.
- Simuler une liaison nouvelle ou modifiée pour une stratégie de limite d'accès des comptes principaux : cliquez sur Définir la liaison.
- Simuler la suppression d'une stratégie de limite d'accès des comptes principaux: cliquez sur Supprimer la stratégie.
- Simuler la suppression d'une liaison pour une stratégie de limite d'accès des comptes principaux: cliquez sur Supprimer la liaison.
Lorsque vous cliquez sur ce bouton, la console Google Cloud définit la stratégie ou la liaison simulée.
Modifier la modification simulée de la stratégie ou de la liaison: pour apporter d'autres modifications à la stratégie ou à la liaison simulées, cliquez sur Retour ou Retour à la modification.
Lorsque vous cliquez sur ce bouton, la console Google Cloud vous redirige vers l'éditeur de règles ou de liaison de règles.
Étape suivante
- Tester les modifications apportées aux règles d'administration à l'aide de Policy Simulator
- Tester les modifications de rôle avec Policy Simulator